Forum

Bildirimler

Hepsini Temizle

fortigate AD entegrasyonu NTLM problemi

Fortinet

Son Cevaplar gön: tarkankurd 8 yıl önce

4 Yazılar

2 Üyeler

0 Likes

677 Görüntüleme

RSS

tarkankurd

(@tarkankurd)

Gönderiler: 66

Estimable Member

Konu başlatıcı

Merhaba

İki farklı lokasyon ve iki farklı domainimiz var. Aralarında trust var.

İki lokasyonda da Fortigate 100d var ve AD entegrasyonları var.

a lokasyonundaki domainde olan/olmayan bir cihazda kendi domain şifresi ile nete çıkış yapabiliyor. ( a ve b lokasyonlarında)

b lokasyonundaki user sadece domaine dahil olan bir bilgisayardan kendi kullanıcısı ve şifresi ile çıkış yapabiliyor.

Domaine dâhil olmayan herhangi bir cihazdan kesinlikle çıkış yapamıyor.

Her iki lokasyondaki cihazların ve agentların configlerini ve policy leri karşılaştırdım. Herhangi bir faklılık bulamadım.

A lokasyonundaki cihazda Firewall User Monitor listesinde Method sütununda NTLM ve FSSO olmasına rağmen B lokasyonunda bu sütünda sadece FSSO gözükmekte

B lokasyonunda Domain User lar ile çalışan programlar var. Bunlarda herhangi bir sıkıntı olmuyor.

Nasıl bir kontrol yapabilirim.

Gönderildi : 10/09/2016 16:53

Yilmaz BARCIN

(@yilmazbarcin)

Gönderiler: 315

Illustrious Member

Merhaba,

muhtemelen a lokasyonunda explict proxy kullanıyorsunuz ve onun içerisinde authentication 'ı NTLM ile yaptığınız için FSSO'da bunu görüyorsunuz.

ben burada sorunun ne olduğunu anlayamadım, b lokasyonunda da fsso ile çalışıyorsunuz ve sorun yok anlaladğım kadarı ile.

proxy tarafında ntlm kullanmak için http://kb.fortinet.com/kb/documentLink.do?externalID=FD36382 kullanabilirsiniz.

kolay gelsin,

Gönderildi : 13/09/2016 01:04

tarkankurd

(@tarkankurd)

Gönderiler: 66

Estimable Member

Konu başlatıcı

Merhaba

Her iki tarafta da explicit proxy kullanmıyoruz.

a tarafındaki user hem b tarafındaki hemde a tarafındaki lokasyonda domaine dahil olan/olmayan (cep telefonları, tabletler dahil) herhangi bir bilgisayardan kendi user ve şifresi ile nete giriş yapabilmekte.

b tarafındaki user ise her iki tarafta da sadece domaine bağlı olan bilgisayardan nete çıkabilmekte.

aşağıda cli da aldığım debuglar var.

1- a taradındaki userin b lokasyonundaki çıktısı.

[1938] handle_req-Rcvd auth req 423639547 for A_USER in Active_Directory_AYERLERKESI opt=0000001b prot=0
[345] __compose_group_list_from_req-Group 'Active_Directory_AYERLERKESI'
[694] fnbamd_pop3_start-A_USER
[976] __fnbamd_cfg_get_ldap_list_by_server-Loading LDAP server 'Active_Directory_AYERLERKESI'
[1001] resolve_ldap_FQDN-Resolved address 10.205.40.182, result 10.205.40.182
[1369] fnbamd_ldap_init-search filter is: sAMAccountName=A_USER

[1372] fnbamd_ldap_init-search base is: DC=AYERLERKESI,DC=local

[464] create_auth_session-Total 1 server(s) to try
[433] start_search_dn-base:'DC=AYERLERKESI,DC=local' filter:sAMAccountName=A_USER

[1755] fnbamd_ldap_get_result-Going to SEARCH state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[467] get_all_dn-Found DN 1:CN=A Yerleskesi USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local

[481] get_all_dn-Found 1 DN's
[515] start_next_dn_bind-Trying DN 1:CN=A Yerleskei USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[1803] fnbamd_ldap_get_result-Going to USERBIND state
[2548] auth_ldap_result-Continue pending for req 423639547
[738] start_user_attrs_lookup-Adding attr 'memberOf'
[759] start_user_attrs_lookup-base:'CN=A Yerleskesi USERI,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local' filter:cn=*

[1859] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[927] get_member_of_groups-Get the memberOf groups.
[959] get_member_of_groups- attr='memberOf', found 9 values
[85] ldap_grp_list_add-added CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[0]='CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[1]='CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[2]='CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[3]='CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[4]='CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[5]='CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[6]='CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[7]='CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[85] ldap_grp_list_add-added CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[968] get_member_of_groups-val[8]='CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local'
[806] start_primary_group_lookup-starting check...
[810] start_primary_group_lookup-number of sub auths 5
[828] start_primary_group_lookup-base:'DC=AYERLERKESI,DC=local' filter:(&(objectclass=group)(objectSid=\01\05\00\00\00\00\00\05\15\00\00\00\bd\1a\61\f8\be\a8\c3\b4\51\48\56\b0\01\02\00\00))

[1882] fnbamd_ldap_get_result-Entering CHKPRIMARYGRP state
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639547
[85] ldap_grp_list_add-added CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[910] get_primary_groups-primary group: CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[1915] fnbamd_ldap_get_result-Auth accepted
[2031] fnbamd_ldap_get_result-Going to DONE state res=0
[150] __ldap_copy_grp_list-copied CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local
[2628] fnbamd_auth_poll_ldap-Result for ldap svr 10.205.40.182 is SUCCESS
[2648] fnbamd_auth_poll_ldap-Skipping group matching
[866] find_matched_usr_grps-Skipped group matching
[180] fnbamd_comm_send_result-Sending result 0 (error 0) for req 423639547
authenticate 'A_USER' against 'Active_Directory_AYERLERKESI' succeeded!
Group membership(s) - CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
                      CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local

BYERLESKESI # [606] destroy_auth_session-delete session 423639547
[45] ldap_grp_list_del_all-Del CN=FGa_AYERLERKESI_BYERLESKESI_Yerleskesi,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=IT_Departman,OU=IT_Departman,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Uzak_Kullanicilar_Grubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Ftp_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=FGa_VPN_Grup,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Logo_Tiger_C_Users,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Logo_Talep_Kullanicilari,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=FGa_Normal,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Muhasebe_TigerGrubu,OU=AYERLERKESI,DC=AYERLERKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Domain Users,CN=Users,DC=AYERLERKESI,DC=local

1- b taradındaki userin b lokasyonundaki çıktısı.

[1938] handle_req-Rcvd auth req 423639551 for B_USER in Active_Directory_BYERLESKESI opt=0000001b prot=0
[345] __compose_group_list_from_req-Group 'Active_Directory_BYERLESKESI'
[694] fnbamd_pop3_start-B_USER
[976] __fnbamd_cfg_get_ldap_list_by_server-Loading LDAP server 'Active_Directory_BYERLESKESI'
[1001] resolve_ldap_FQDN-Resolved address 10.205.40.181, result 10.205.40.181
[1369] fnbamd_ldap_init-search filter is: sAMAccountName=B_USER

[1372] fnbamd_ldap_init-search base is: DC=BYERLESKESI,DC=local

[464] create_auth_session-Total 1 server(s) to try
[433] start_search_dn-base:'DC=BYERLESKESI,DC=local' filter:sAMAccountName=B_USER

[1755] fnbamd_ldap_get_result-Going to SEARCH state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[467] get_all_dn-Found DN 1:CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local

[481] get_all_dn-Found 1 DN's
[515] start_next_dn_bind-Trying DN 1:CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[1803] fnbamd_ldap_get_result-Going to USERBIND state
[2548] auth_ldap_result-Continue pending for req 423639551
[738] start_user_attrs_lookup-Adding attr 'memberOf'
[759] start_user_attrs_lookup-base:'CN=B Yerleskesi USERI,OU=users,OU=BYERLESKESI,DC=BYERLESKESI,DC=local' filter:cn=*

[1859] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[927] get_member_of_groups-Get the memberOf groups.
[959] get_member_of_groups- attr='memberOf', found 2 values
[85] ldap_grp_list_add-added CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
[968] get_member_of_groups-val[0]='CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local'
[85] ldap_grp_list_add-added CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[968] get_member_of_groups-val[1]='CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local'
[806] start_primary_group_lookup-starting check...
[810] start_primary_group_lookup-number of sub auths 5
[828] start_primary_group_lookup-base:'DC=BYERLESKESI,DC=local' filter:(&(objectclass=group)(objectSid=\01\05\00\00\00\00\00\05\15\00\00\00\e4\a5\f3\0d\55\44\91\39\b4\36\7c\be\01\02\00\00))

[1882] fnbamd_ldap_get_result-Entering CHKPRIMARYGRP state
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[1653] fnbamd_ldap_get_result-Not ready yet
[2548] auth_ldap_result-Continue pending for req 423639551
[85] ldap_grp_list_add-added CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[910] get_primary_groups-primary group: CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[1915] fnbamd_ldap_get_result-Auth accepted
[2031] fnbamd_ldap_get_result-Going to DONE state res=0
[150] __ldap_copy_grp_list-copied CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[150] __ldap_copy_grp_list-copied CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local
[2628] fnbamd_auth_poll_ldap-Result for ldap svr 10.205.40.181 is SUCCESS
[2648] fnbamd_auth_poll_ldap-Skipping group matching
[866] find_matched_usr_grps-Skipped group matching
[180] fnbamd_comm_send_result-Sending result 0 (error 0) for req 423639551
[606] destroy_auth_session-delete session 423639551
authenticate 'B_USER' against 'Active_Directory_BYERLESKESI' succeeded!
Group membership(s) - CN=FGa_BYERLESKESI_Mudur,CN=Users,DC=BYERLESKESI,DC=local
CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local

BYERLESKESI # [45] ldap_grp_list_del_all-Del CN=BYERLESKESI_KULLANICILARI,OU=BYERLESKESI,DC=BYERLESKESI,DC=local
[45] ldap_grp_list_del_all-Del CN=Domain Users,CN=Users,DC=BYERLESKESI,DC=local

gördüğüm kadarıyla aralarındaki çok az fark var.

[606] nolu logun Group membership(s) ten önce veya sonra olması. a lokasyonunda sonra çıkıyor. b lokasyonunda önce çıkıyor.

Gönderildi : 16/09/2016 11:48

tarkankurd

(@tarkankurd)

Gönderiler: 66

Estimable Member

Konu başlatıcı

Bu arada her iki tarafında configlerini satır satır inceledim. policy lerde ki bütün ayarlar aynı.

a tarafındaki cihaz sw modda b tarafındaki cihaz ise interface modda.

bunun dışında herhangi bir fark bulamadım.

Gönderildi : 16/09/2016 11:52

Powershell command

Crome eklentilerini silen bir Powershell komutuna ihtiy...

Gön: Şükrü B. , 2 saat önce
Cevap: Kendi Bilgisayarımı Sunucu Gibi Kullanmak

Sanırım başlık düzenlenmiş içerik hedefi değişmiş oluyo...

Gön: ibrahim yildiz , 8 saat önce
Cevap: Outlook Macbook Pro mail içeriği problemi

Bu encoding sorunu ama macos outlook optionları farkı k...

Gön: ibrahim yildiz , 8 saat önce
Cevap: Exchange 2019 Mail Okunma Logu

Script ID'i bulamıyor. ID'nin ilk kısmını kullanarak de...

Gön: ibrahim yildiz , 8 saat önce
Cevap: Outlook Macbook Pro mail içeriği problemi

Merhaba, forumda sanki bu konu bir kaç kez konuşuldu, b...

Gön: Hakan Uzuner , 10 saat önce
Exchange 2019 Mail Okunma Logu

Merhaba arkadaşlar, Belki benzer durumla karşılaşmışl...

Gön: Emre Albayrak , 12 saat önce
Outlook Macbook Pro mail içeriği problemi

Merhabalar, Macbook pro kullanan bir kullanıcı ou...

Gön: Emre Babuz , 14 saat önce
Cevap: FortiClient VPN Windows 7 hatası

Cevaplar için teşekkür ederim. Sorunu şu şekilde çözd...

Gön: Zarif bulut , 15 saat önce
Cevap: Outlook silinen PST dosyası

Merhaba @engerex Aslında uyarı yazınız kurumsal altya...

Gön: Serkan Ateş , 17 saat önce

Paylaş:

Forum

fortigate AD entegrasyonu NTLM problemi

Microsoft Teams Toplantıları İçin 10 İpucu

Windows 10 Üzerinde Kali Linux Kullanımı

Bir Samsung Modeli Daha Android 14 Güncellemesi Aldı. İşte Tüm Modeller!

Bir Veritabanı Sunucusuna Brute Force ile Saldırmak ve Sunucuyu Savunmak

Acı Kaybımız, Uğur Demir’ i Kaybettik

Windows 0x0000011b Ağ Yazdırma Hatası Nasıl Düzeltilir